- Publicité -


20 décembre 2022Ravie LakshmananLogiciels malveillants bancaires / Sécurité mobile

Cheval de Troie Android BrasDex

Les acteurs de la menace derrière le malware bancaire Windows connu sous le nom de Casbaneiro a été attribué à l’origine d’un nouveau cheval de Troie Android appelé BrasDex qui a été observé ciblant les utilisateurs brésiliens dans le cadre d’une campagne multiplateforme en cours.

- Publicité -

BrasDex propose un “système complexe d’enregistrement de frappe conçu pour abuser des services d’accessibilité afin d’extraire les informations d’identification spécifiquement d’un ensemble d’applications ciblées brésiliennes, ainsi qu’un moteur de système de transfert automatisé (ATS) hautement performant”, ThreatFabric m’a dit dans un rapport publié la semaine dernière.

La société de sécurité néerlandaise a déclaré que l’infrastructure de commande et de contrôle (C2) utilisée conjointement avec BrasDex est également utilisée pour contrôler Casbaneiroqui est connu pour frapper les banques et les services de crypto-monnaie au Brésil et au Mexique.

On estime que la campagne de logiciels malveillants hybrides Android et Windows a entraîné des milliers d’infections à ce jour.

La cyber-sécurité

BrasDex, qui se fait passer pour une application bancaire pour Banco Santander, est également emblématique d’une nouvelle tendance qui consiste à abuser des API d’accessibilité d’Android pour enregistrer les frappes saisies par les victimes, s’éloignant de la méthode traditionnelle d’attaques par superposition pour voler des informations d’identification et d’autres données personnelles.

Il est également conçu pour capturer les informations sur le solde du compte, puis les utiliser pour prendre en charge les appareils infectés et initier des transactions frauduleuses de manière programmatique.

Un autre aspect notable de BrasDex est son accent particulier sur la plate-forme de paiement PIX, qui permet aux clients bancaires au Brésil d’effectuer des transferts d’argent simplement en utilisant leurs adresses e-mail ou leurs numéros de téléphone.

Cheval de Troie Android BrasDex
Cheval de Troie Android BrasDex

Le système ATS de BrasDex est explicitement conçu pour abuser de la technologie PIX afin d’effectuer des transferts frauduleux.

Ce n’est pas la première fois que l’écosystème du paiement instantané est ciblé par de mauvais acteurs. En septembre 2021, Check Point a détaillé deux familles de logiciels malveillants Android nommées PixStealer et MalRhino qui ont incité les utilisateurs à transférer l’intégralité de leurs soldes de compte vers un compte contrôlé par des acteurs.

L’enquête de ThreatFabric sur BrasDex lui a également permis d’accéder au panneau C2 utilisé par les opérateurs criminels pour suivre les appareils infectés et récupérer les journaux de données exfiltrés des téléphones Android.

Le panneau C2, en l’occurrence, est également utilisé pour garder un œil sur une autre campagne de logiciels malveillants qui compromet les machines Windows pour déployer Casbaneiro, un cheval de Troie financier basé sur Delphi.

Cette chaîne d’attaques utilise des leurres de phishing sur le thème de la livraison de colis prétendant provenir de Correios, un service postal appartenant à l’État, pour duper les destinataires afin qu’ils exécutent le logiciel malveillant en suivant un processus en plusieurs étapes.

Les fonctionnalités de Casbaneiro exécutent la gamme de portes dérobées typique qui lui permet de prendre le contrôle des comptes bancaires, de prendre des captures d’écran, d’effectuer un enregistrement de frappe, de détourner les données du presse-papiers et même de fonctionner comme un logiciel malveillant de clipper pour détourner les transactions cryptographiques.

“En tant que familles de logiciels malveillants indépendantes et à part entière, BrasDex et Casbaneiro forment une paire très dangereuse, permettant à l’acteur derrière eux de cibler à grande échelle les utilisateurs d’Android et de Windows”, a déclaré ThreatFabric.

“L’affaire BrasDex montre la nécessité de mettre en place des mécanismes de détection et de prévention des fraudes sur les appareils des clients : les paiements frauduleux effectués automatiquement à l’aide de moteurs ATS semblent légitimes pour les backends bancaires et les moteurs de notation des fraudes, car ils sont effectués via le même appareil qui est généralement utilisé par les clients.”

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici